大阪府で非常勤のデザイン相談員として従事している中で、私が中心に対応させてもらっているのが「ホームページ無料診断」です。
少し前に、診断項目を見直して、新たな項目を追加しました。
その中で、今とっても重要だなと私自身も痛感している項目が「HTTPセキュリティヘッダの設定」です。
HTTPセキュリティヘッダの設定とは
webサイトを訪問する方が利用しているブラウザのセキュリティ対策のための設定です。webサイトのページを閲覧するときにどのように表示するかなどをブラウザに通知して、脆弱性を利用されるのを軽減させます。
設定すべき項目はいくつかあります。
- Strict-Transport-Security
- Content-Security-Policy
- X-Content-Type-Options
- X-Frame-Options
- Referrer-Policy
- Permissions-Policy
英語でややこしいそうですが、ややこしいです(汗)
これらの設定を正しく行うと、webサイトのセキュリティを高めて、クロスサイトスクリプティング (XSS攻撃) 、データインジェクション、クリックジャッキングなどの攻撃を減らすことができます。
しかし、この設定が正しく行われているwebサイトって、すごく少ない…というより、ほとんど設定されているwebサイトがないという状況です。
いつ攻撃を受けてハッキングされるかわからない
HTTPセキュリティヘッダが何も設定されてない状態というのは、いつ悪意のある攻撃を受けてハッキングされるかわからない状況なんです。
webサーバ側でも攻撃に対する対処は常にしてくれていますが、webサイト側でも攻撃への対処をしておいて、さらにセキュリティを高めておく必要があります。
いつどんな攻撃を受けるかわかりませんからね。
なので、webサイトのセキュリティ設定が気になった方は、お取引されているホームページ制作会社さんに「セキュリティヘッダの設定状況」を確認してみてください。まだ何も対処していないようでしたら、すぐに最適化してもらうように依頼すべきです。
もし、取引中の制作会社が対応できなかったり、連絡が取れないなど、対処してくれる制作会社がないということでしたら、当社で提供する「セキュリティヘッダ設定サービス」をご活用ください。
HTMLのwebサイトでも、Wordpressを使っているwebサイトであっても対応可能です。
これからはセキュリティの最適化も必須
常時SSLで通信を暗号化するだけではwebサイトへの攻撃を未然に防ぐには物足りなさすぎます。これからのwebサイトは、常時SSL、セキュリティヘッダの設定を正しく行い、セキュリティを高めて、あなたのwebサイトを訪問する方が安心して利用できる安全な環境づくりを行なっている必要があります。
あなたのwebサイトは安全で安心して利用できますか?
わからない、不安だということは、いつでもご相談ください。
ご相談はこちらから
https://www.ryu-raku.co.jp/contact/
Photo credit: focal5 on Visualhunt.com